本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Control Tower 中嵌套的 OU
本章列出了在 AWS Control Tower 中使用嵌套 OU 时需要注意的期望和注意事项。在大多数情况下,使用嵌套的 OU 与使用扁平的 OU 结构相同。注册和重新注册功能适用于嵌套的 OU,但本章中提到的更改行为除外。
视频演练
此视频 (4:46) 描述了如何在 AWS Control Tower 中管理嵌套的 OU 部署。为了更好地观看,请选择视频右下角的图标以将其放大为全屏。可以使用字幕。
有关嵌套 OU 和着陆区的最佳实践的指导,请参阅博客文章使用嵌套的 OU 组织您的 AWS Control Tower 着陆区
从扁平的 OU 结构扩展到嵌套的 OU 结构
如果您使用扁平的 OU 结构创建了 AWS Control Tower 着陆区,则可以将其扩展为嵌套的 OU 结构。
此过程有四个主要步骤:
-
在 AWS Control Tower 中创建所需的嵌套 OU 结构。
-
进入 AWS Organizations 控制台,使用其批量移动功能将账户从源 OU(平面)移动到目标 OU(嵌套)。方法如下:
-
转到要从中转移账户的 OU。
-
选择 OU 中的所有账户。
-
选择移动。
注意
此步骤必须在 AWS Organizations 控制台中完成,因为 AWS Control Tower 没有移动功能。
-
-
前往 AWS Control Tower 中嵌套的 OU 并对其进行注册或重新注册。嵌套 OU 中的所有账户都将被注册。
-
如果您在 AWS Control Tower 中创建了 OU,请重新注册该组织单元。
-
如果您在中创建了 OU AWS Organizations,请首次注册 OU。
-
-
在您的账户移动和注册后,从 AWS Organizations 控制台或 AWS Control Tower 控制台中删除空的顶层 OU。
嵌套 OU 注册预检
为了支持成功注册嵌套 OU 及其成员账户,AWS Control Tower 会执行一系列预检查。注册任何顶层 OU 或嵌套 OU 时,也会执行相同的预检查。有关更多信息,请参阅注册或重新注册期间的常见失败原因。
-
如果所有预检查均通过,AWS Control Tower 将自动开始注册您的 OU。
-
如果任何预检查失败,AWS Control Tower 将停止注册流程,并为您提供在注册 OU 之前必须修复的项目清单。
嵌套的 OU 和角色
AWS Control Tower 会将AWSControlTowerExecution角色部署到目标 OU 下的账户,以及嵌套在目标 OU 下的所有 OU 中的账户,即使您只打算注册目标 OU 也是如此。此角色向管理账户中的任何用户授予任何具有该AWSControlTowerExecution角色的账户的管理员权限。该角色可用于执行 AWS Control Tower 控件通常不允许的操作。
您可以从不打算注册的已取消注册账户中删除此角色。如果您删除此角色,则无法在 AWS Control Tower 中注册该账户,也无法注册直系父 OU,除非您将该角色恢复到该账户。要从账户中删除该AWSControlTowerExecution角色,您必须使用该AWSControlTowerExecution角色登录,因为不允许其他 IAM 委托人删除由 AWS Control Tower 管理的角色。
有关如何限制角色访问权限的信息,请参阅角色信任关系的可选条件。
在注册和重新注册嵌套 OU 和账户期间会发生什么
当您注册或重新注册嵌套 OU 时,AWS Control Tower 会注册目标 OU 的所有未注册账户,并更新所有已注册的账户。以下是可以期待的。
AWS Control Tower 执行以下任务
-
将该
AWSControlTowerExecution角色添加到此 OU 下的所有未注册帐户以及其嵌套 OU 中的所有未注册帐户。 -
注册未注册的成员账户。
-
重新注册已注册的会员账户。
-
为新注册的成员账户创建 IAM 身份中心登录名。
-
更新现有已注册的会员账户,以反映您的 landing zone 变更。
-
更新为此 OU 及其成员账户配置的控件。
嵌套 OU 注册的注意事项
-
您不能在核心 OU(安全 OU)下注册 OU。
-
嵌套的 OU 必须单独注册。
-
除非注册了 OU 的父 OU,否则您无法注册 OU。
-
除非树中的所有 OU 在某个时候都已成功注册(有些可能已被删除),否则您无法注册 OU。
-
您可以注册位于漂移较高的 OU 之下的 OU,但该操作无法修复漂移。
嵌套 OU 限制
-
OU 最多可以在根深处嵌套 5 个级别。
-
必须单独注册或重新注册目标 OU 下的嵌套 OU。
-
如果目标 OU 在层次结构中位于 2 级或以下,也就是说,如果它不是顶级 OU,则会自动对此 OU 及其下所有 OU 实施在更高 OU 上启用的预防性控制。
-
OU 注册失败不会在层次结构树中向上传播。您可以在父组织单元的详细信息页面上查看有关嵌套 OU 状态的详细信息。
-
OU 注册失败不会在层次结构树中向下传播。
-
AWS Control Tower 不会修改任何新账户或现有账户的 VPC 设置。
嵌套 OU 和合规性
在 AWS Control Tower 控制台中,您可以在组织页面中查看不合规的 OU 和账户,这样您就可以更全面地了解合规情况。
有关嵌套 OU 和账户合规性的注意事项
-
OU 的合规性不是根据嵌套在其下的 OU 的合规性来确定的。
-
控件的合规性状态是根据启用控件的所有 OU(包括嵌套的 OU)计算的。查看 AWS Control Tower 业务单元和账户的合规状态 w。
-
只有当 OU 的账户不合规时,OU 才会显示为不合规,而不管 OU 在 OU 层次结构中的位置如何。
-
如果嵌套 OU 不合规,则其父 OU 不会自动被视为不合规。
-
在 OU 详情或账户详情页面上,您可以查看可能导致您的 OU 或账户显示不合规状态的不合规资源列表。
嵌套 OU 和偏移
在某些情况下,漂移可能会阻止嵌套 OU 的注册。
对漂移和嵌套 OU 的期望
-
您可以对具有漂移父级的 OU 启用控制,但不能直接在漂移的 OU 上启用控制。
-
只要漂移的 OU 不是顶级漂移 OU,你就可以在漂移的 OU 下启用侦探控制。
-
强制控制仅在顶层 OU 上启用。注册嵌套 OU 时会跳过强制控件。
-
一个强制性控件可以保护 AWS Config 资源;因此,该控件必须处于非漂移状态才能注册嵌套的 OU。如果存在偏差,AWS Control Tower 会阻止嵌套业务单元的注册。
-
如果顶层 OU 处于漂移状态,则保护 AWS Config 资源的控制可能处于偏离状态。在这种情况下,AWS Control Tower 会阻止任何需要创建或更新 AWS Config 资源的操作,包括应用侦探控制。
嵌套的 OU 和控件
当您在已注册的 OU 上启用控件时,预防和侦测控件的行为会有所不同。对于嵌套的 OU,主动控制的行为类似于侦探控件。
预防性控制
-
对嵌套的 OU 实施预防性控制。
-
对组织单位及其嵌套业务单元下的所有账户实施强制性预防性控制。
-
预防性控制会影响嵌套在目标 OU 下的所有账户和 OU,即使这些账户和 OU 尚未注册。
Detective 和主动控制
-
嵌套的 OU 不会自动继承侦探或主动控制;这些控制必须单独启用。
-
Detective 和主动控制仅部署到您的着陆区运营区域的注册账户。
启用控制状态和继承
您可以在 OU 详细信息页面上查看每个 OU 的继承控件。
提示
你可以利用控制继承来帮助保持在 OU 的 SCP 配额之内。例如,您可以在 OU 层次结构的顶层 OU 中启用控件,而不是直接为嵌套的 OU 启用。
继承状态
-
“继承” 状态表示该控件仅通过继承启用,并且尚未直接应用于 OU。
-
状态为 “已启用” 表示无论其他 OU 上的控制状态如何,都将在此 OU 上强制执行控制。
-
状态为 “失败” 表示无论其他 OU 上的控制状态如何,都不会对此 OU 强制执行控制。
注意
“继承” 状态表示控件已应用于树中更高的 OU,并且已在此 OU 上强制执行,但未直接添加到此 OU 中。
如果你的 landing zone 不是当前版本
“已启用的控件” 表中的每一行代表一个单独的 OU 上已启用的控件。
嵌套的 OU 和根
根不是 OU,因此无法注册或重新注册。您也无法直接在根目录中创建账户。根目录不能不合规,也不能处于生命周期状态,例如已注册或处于偏移状态。
但是,根是所有账户和 OU 的顶级容器。在嵌套 OU 的上下文中,它是所有其他 OU 嵌套在其下的节点。
